独IDS Scheerの取締役、Wolfram Jost博士

BPM(ビジネスプロセスマネジメント)に注目が集まっている。プロセス主導のITシステムを構築することは、SOA(サービス主導アーキテクチャ)の実現にもつながり、自社の事業を洗い出し、変化に柔軟に対応することができるといわれている。また、日本でも内部統制に関する法の導入が見込まれていることから、規制遵守の観点からもBPMにスポットがあたっている。

今回、20年以上前からBPMツール「ARIS Platform」を提供している古参の独IDS Scheerの取締役、Wolfram Jost博士に、BPMのいま、将来、そして規制遵守について話を聞いた。

--さまざまなベンダがBPMを提唱しています。ビジネスプロセス専業ベンダとしての立場から、BPMを定義していただけますか?

Jost氏: IDS Scheerは20年以上前からBPMを提供しており、ビジネス主導の視点からBPMを捉えていることが特徴です。われわれのBPMの目標は、企業が管理すべきビジネスプロセスのプロセスを実装する、つまりBPMプロセスそのものを実現することにあります。一方、Oracle、SAPなど他社のBPMは技術的な定義に基づくものです。これら技術ベンダはBPMを新しい技術として見ており、BPMを自動化するために新しい技術を実装しなければならないというメッセージを打ち出しているようです。

われわれは、ビジネスプロセスの設計、実装、実行、管理の4つの要素が不可欠だと思っています。最も重要な部分は、設計と管理であって、(技術ベンダが実現する)実行は一部に過ぎません。そこで、われわれは実行エンジンという観点から技術ベンダと提携する戦略です。

--BPM分野は今後、どのように発展するのでしょうか?

Jost氏: BPMは大きく分けると3層構造をとります。最上部は、規制遵守、SOA、エンタープライズアーキテクチャ(EA)などの柱が並んでおり、すべて真ん中のBPMプロセス(ライフサイクル)を必要とします。最下部はアーキテクチャレイヤで、SAP、IBMなどの各ワンタイムレポジトリがあります。このワンタイムレポジトリはプロセスやサービスを記述したメタデータを必要とし、これを提供するのがわれわれのBPMのARISレポジトリとなります。ARISレポジトリには、ビジネスプロセス、ITアーキテクチャ、サービス定義などのBPMに必要な情報がすべて格納されており、ワンタイムレポジトリと統合可能です。われわれはARISレポジトリをBPMの中心となるメタデータレポジトリと位置づけています。このメタデータレポジトリは、次のホットトピックとなるでしょう。

このアーキテクチャは現在の「ARIS Platform」で実現可能で、われわれにとってメタデータレポジトリの概念は自然な進化といえます。

--メタデータレポジトリにおける課題は何でしょうか? 定義や記述に関する標準動向は?

Jost氏: メタデータレポジトリは、ビジネス、IT、サービスの3つのレイヤを持ちます。サービスレイヤは標準化が重要な部分で、BPEL(Business Process Execution Language)、UMLなどのサービスを記述する標準があります。ビジネスレイヤにはBPMN(Business Process Modeling Notation)がありますが、ITレイヤはまだ動きが少なく、国防業界のDoDAF(Department of Defence Architecture Framework)などしかありません。

BPMでは、1つのレポジトリを持ち、ビジネスプロセスを開始してITアプリケーション、サービス定義に進みます。このインテグレーションが大切です。ITアーキテクチャ、サービスで製品を持つ専業ベンダやニッチプレイヤーがいますが、ビジネスレイヤをカバーできません。われわれはスタート地点となるビジネスレイヤを持っており、この3つのレイヤを提供できる唯一のベンダです。

BPMNはビジネスプロセス記述に関する重要な標準ですが、標準化のニーズは低いといえます。というのも、(サービスレイヤではさまざまな技術プラットフォームが混在するので標準化は重要ですが)、ビジネスプロセス部分はベンダ混在環境ではなく、1社の製品を使ってビジネスプロセスを管理するからです。われわれはBPMNをサポートしていますが、顧客の多くは使い慣れたARISを使っています。

--日本では、日本版SOXといわれる内部統制関連法が成立する見通しです。すでに規制遵守製品「ARIS Audit Manager」を提供していますが、すでに米国や欧州に顧客を持つ立場から、日本企業に何かアドバイスはありますか?

Jost氏: 欧米では内部統制規制の遵守に関して、誤解が大きかったと思います。専用の担当者を雇わなければならないなどのパニックもありました。SOX法成立の理由は、既存の法律やバランスシートでは、企業の正確な財務状況を示すことができなかったためです。

BPMを実践している企業は、規制遵守は大きなハードルではないはずです。遵守の報告書は、プロセス定義、リスク情報、リスク統制プロセスなどで構成されており、BPMの報告書とほぼ同じといるからです。むしろ、自社のビジネスプロセスを改善できるチャンスととらえるべきでしょう。

規制に関する正確な情報を入手し、それへの対策として正確な見解を持つこと、これが最初のステップとなるでしょう。すでにBPMを実践しているのであれば、BPMと規制遵守を連携させることです。

--規制遵守にあたり、関係者の役割や責任はどのように配分されるべきでしょうか?

Jost氏: 規制遵守はプロセスといえ、このプロセスをサポートするITシステムが必要です。その観点から、IT部門は技術に責任を持つべきです。CFOは規制遵守のプロセスオーナーとして、規制遵守管理をどのように行うのか、そのプロシージャやステップ、アクティビティやモデルを定義します。事業部門はコンテンツ、つまりビジネスプロセスに責任を持ちます。監査役は法務面に責任を持ち、報告書を検査します。このようにそれぞれが役割を持ち、共同で取り組むことが必要です。